この製品は、Java Server Page (JSP)などのフレームワークで、上流のコンポーネントから外部から影響を受けた入力を使用して、式言語(EL)ステートメントのすべてまたは一部を構築しますが、実行前に意図したELステートメントを変更する可能性のある特殊な要素を中和していないか、誤って中和しています。
Java Server Page (JSP)のようなフレームワークでは、開発者が他の静的なコンテンツに実行可能な式を挿入することができます。開発者がこれらの表現が実行可能であることを認識していなかったり、無効にしなかったりした場合、攻撃者が表現を注入することができれば、コードの実行やその他の予期せぬ動作につながる可能性があります。
The product constructs all or part of an expression language (EL) statement in a framework such as a Java Server Page (JSP) using externally-influenced input from an upstream component, but it does not neutralize or incorrectly neutralizes special elements that could modify the intended EL statement before it is executed.
Frameworks such as Java Server Page (JSP) allow a developer to insert executable expressions within otherwise-static content. When the developer is not aware of the executable nature of these expressions and/or does not disable them, then if an attacker can inject expressions, this could lead to code execution or other unexpected behaviors.